EFI:一次黑客攻击

编者按:本文来自橙皮书,Odaily星球日报经授权转载。前段时间,我搭了一个很简陋的博客,想用来写点个人日记。代码写得很简单,潦潦草草发布上去。后面有天我才发现,网站存在cookie里的session是没有加密的,前端很容易就能解析出来,而我犯的一个错误是在session里存了敏感的信息。软件世界有无数的陷阱。拿最简单的web网站来说,SQL注入、XSS攻击、利用第三方cookie重复使用的CSRF攻击、图片或者文件上传的漏洞,各种死法花式上演。一个新手在网络上架起了自己的第一个网站,就像水手驾着一艘颤颤巍巍的小帆船第一次出海,他不知道前方路上埋伏着无数的风暴、冰山和海怪。只是在大部分情况下,这些风险是幻象。船上的漏洞当然是一直存在的,风暴和海怪却并不一定会出现。毕竟风暴和海怪也很忙,他们只攻击那些值得攻击的对象,要么掀翻满载而归的渔船,要么掠夺富商的货轮。所以,也难怪有人说,软件工程不像其他“硬工程”,土木工程如果出错,楼会倒、路会塌,需要付出人命的代价;硬件芯片如果出bug,则会导致几十上百亿的损失;软件如果挂了?最多让一个网站宕机半天。当然,这句话其实是错误的。软件正在吞噬整个世界。代码充斥着世界的每个角落。今天软件的漏洞,代表的不止是一个网站或者一个app,也是飞机和火箭上的控制系统。波音公司把客机软件外包给更廉价的第三方,最终在航天史上留下了血淋淋的BUG。Dijkstra大神也讲过类似的故事。1969年阿波罗登月后,他曾经问飞船软件的负责人,你们为什么能把那么多的代码写正确,没想到对方坦白道:仅仅在发射前五天,他才从登月器计算轨道的代码里发现一个错误,这行代码把月球的重力方向算反了。本来该吸引的,结果写成了排斥。除了军用软件和航空软件,现在我们还多了另一个领域——区块链。天生与货币和金融绑在一起的crypto,让我们又一次感受到,软件世界的代码安全究竟有多重要。昨天对中国DeFi圈而言是黑暗的一天。dForce的借贷平台Lendf.Me遭黑客攻击损失2500万美元的资产,黑客利用了ERC777标准和Lendf.Me合约的组合漏洞,使用重入攻击凭空制造出一堆imBTC,又用imBTC借走了平台上的其他币种,洗劫一空。就在dForce出事的前一天,Uniswap也刚刚遭受相似手法的攻击。而ERC777标准的这个漏洞,在2019年6月份就被OpenZeppelin公布了,只是并未引起重视。这件事将会成为DeFi发展的一个重要节点。事件仍在发展中,最终能否追回资产、最大限度的降低用户损失还要看后续进展,但各个crypto群里已经吵翻天了。这里面有太多的教训。许多人将对DeFi失去信心,认为DeFi是伪概念,怀疑以太坊过去这几年围绕去中心化金融所讲的这个故事。也有不少用户从此不愿意把资产放入到DeFi产品中,而更愿意选择中心化的金融产品,因为“CeFi出了事至少能维权”。这些争吵都是正常的。DeFi是乐高,也是蜜罐,从现在到将来,永远都会有一小撮黑客盯着,尝试挖走里面的金币。任何金融系统都需要经历这样的过程,逃不掉的。能通过考验的、最终能幸存下来的,才有机会走向主流人群,成为更稳固的金融基础设施。只是在这样的过程中,每发生一次类似的事件,都让人难免扼腕。因为背后的代价是由用户真金白银买单的。我想这应该是整个区块链行业都不愿意看到的。只是很遗憾,事情发生后,我在Twitter和其他社交平台上看到了挺多冷嘲热讽的围观,有国外社区对中国社区的嘲讽、对以太坊社区的嘲讽,也有非DeFi圈对DeFi圈的戏谑。恰好也是在昨天,宅在家里看完了因为疫情而举办的全球慈善演出oneworldtogetherathome。在一片GlobalCitizen的氛围中,默默听完了来自世界各地的艺术家和歌手在家里录制的表演。有人说,在病和反全球化趋势下,象征人类大团结的东京奥运会都被取消了,唯有这场2020年的liveaid,能让人从心里感受到一些联结和温暖。而其实整个crypto行业才多大呢?就这么小的一个圈子,中国真正从事区块链的核心玩家,可能一个微信5000好友就能加满了。何必如此。希望这次攻击事件,能让crypto圈和所有从事DeFi行业的人都能吸取教训。开发者在写智能合约时,对每一行代码能更有敬畏之心;用户在使用Crypto产品时,对风险能有更清楚的认识——记住哪怕是小概率的风险,只要时间够长就一定会发生。安全,才是区块链的立身之本。

声音 | 嘉楠区块链CEO:不相信超级矿难会发生 期待每一次减半行情:12月23日,嘉楠区块链CEO邵建良在一期节目中表示,不相信超级矿难的发生,他相信这一定是一些聪明的矿工和一些没有定力的矿工之间的博弈。这个过程周而复始,每次上演类似的轮换。但是每一次都会有出乎意料的情况发生。值得去期待每一次减半行情的发生。同时邵建良还提到,比特币挖矿其实就是用成本价去购买比特币的过程。不合规是阶段性的产物,不代表永远。最后,邵建良称,嘉楠科技未来的战略布局主要会分布在AI、区块链、云计算以及大数据领域。(新浪财经)[2019/12/24]

动态 | TT 变更为每6个月解锁一次 已解锁的3.75亿枚将打回团队及顾问钱包:公链项目ThunderCore联合创始人Chris Wang今日公布其代币经济模型升级方案并表示即日起生效,从现行的每月解锁变更为每6个月解锁一次,即只在每年1月和7月解锁。ThunderCore所有团队成员在5月解锁的3.75亿枚代币,将全数打回在创世块区中团队及顾问的地址,并锁定至 2020年2月底,其账户地址为:0x7DcbD3F649f10521CEAFcd5fe389AE67b40020d6。ThunderCore表示,此次升级意味着延长代币解锁期限,同时包含了确定在ThunderCore 权益池冻结至少一年的代币数量,这两者将让本月的 TT 总流通量立即减少 10.1%。在2019年接下来的几个月,TT 的总流通量将平均至少减少 18.5%。[2019/7/2]

声音 | 肖磊:火币收购桐成控股只是一次股权层面资本运作:据北京商报报道,关于火币集团联手裂变资本收购香港主板上市公司桐成控股一事,肖磊表示:“从实际的情况来分析,这次收购只是股权层面的一次资本运作,火币集团数字货币交易业务是否能够装到上市公司,这个是需要打问号的,因为一旦装入上市公司,在目前香港的监管环境下,有可能会压力较大,被迫退市的概率也是很大的,除非把火币旗下一些独立运作的业务装进去。”[2018/8/30]

Ledger团队:正在清理自最近一次区块以来发生的每笔交易:据Ledger团队今天最新的一篇公告,区块链探索者已经成功重启,并且正在清理自最近一次区块以来发生的每笔交易。但是,启动前估计至少需要一个小时才能开始同步。此前,因硬件钱包Ledger已经两日不能存取比特币现金,用户在Reddit上引发了骚动。Ledgerr CTO Nicolas Bacca回应称修复此问题还需数日。[2018/4/11]

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

地球链

[0:15ms0-0:882ms